Mail-/Webserver selber hosten (mit DynIP)

[jugi]

Ahoi zusammen,

Tommes fragte mich gerade wie der Stand bei meiner Webhostersuche ist und nachdem wir da ja nur noch über Webhoster sprechen sollen und ich den anderen Thread auch nicht zumüllen wollte mach ich das mal hier

Ihr habt mich nämlich tatsächlich angefixt - blöder Basteltrieb…
Trotzdem: Das ganze hier wird erstmal eher ein Brainstorming-Thread, ob ich das am Ende wirklich so umsetze steht noch in den Sternen. Denn eigentlich wollte ich das gebastel ja sein lassen.


Also: Wie genau macht ihr das? Ich meine jetzt nicht die Serverkonfig selber (da ist recht viel Wissen vorhanden und da ichs eh über ne DS machen würde - ich hab ja euch ), sondern mehr so Sachen wie Mailserver mit DynIP oder eben Verfügbarkeit auch in Bezug auf den Router (und was ist mit der Verteilerbox im Keller?). Bei mir müsste der Webserver zwar nicht wirklich viel Traffic verkraften (hab eh nur 10MBit Upload), aber da ich ein paar Mail-Accounts und Webseiten für Freunde und Familie hoste sollte es da schon ne hohe Verfügbarkeit und v.A. keinen Datenverlust geben.

Fragen die sich mir jetzt stellen sind bspw:

• wie bekomme ich die Mails sicher (im Sinne von definitiv) zum Absender? DynIPs sind da ja kritisch - das einfachste wäre wohl mail relay beim Hoster?
• wie handhaben das die anderen Mailserver, wenn da mal kurz nix antwortet? Eigentlich sollten es ja mittlerweile alle nochmal versuchen (stichwort greylisting) - haut das problemlos hin?
• Reicht die DS215j? ich will halt nicht wirklich viel Geld ausgeben und brauche ansich auch nicht viel Leistung - und erst recht keine weitere DS, aber RAID1 wäre in dem Fall wohl mindestens angesagt und mit DSM6 und etwas durchtauschen sollte das passen.
• viel wichtiger aber: welche SSDs? Platz brauch ich nicht viel, vielleicht 128GB, aber leise muss es sein - und bei SSDs ist mein stand noch, dass die für Server unbrauchbar da nicht langlebig genug sind.
• USV hatte ich ja vor kurzem schon gefragt, da wären in dem Fall dann Router & Server dran, wobei da jetzt die Frage wäre, wie bspw. der Verteilerkasten im Keller oder der an der nächsten Straßenecke verkabelt sind - haben die auch sowas wie USVs? (jetzt im sinne von "betrieb aufrechterhalten" - nicht "datenverlust verhindern")
• Die Web Station der DS habe ich mir bisher auch nur mal zum testen angesehen - gibts da irgendwelche üblen Fallstricke? Krieg ich da irgendwie mehrere Zertifikate rein? (also pro vhost eins?)
• Auf den DSen gibt es keinerlei Möglichkeiten eine Webseite von einer anderen zu trennen, das macht mir ein wenig Bauchschmerzen… Genausowenig kann ich den betreffenden Usern Zugriff auf "ihren Webspace" geben (bzw das wäre dann der "Genehmigungen" Tab in der File Station oder? Darum hab ich bisher immer einen großen Bogen gemacht )
• Bestimmt hab ich noch total viel vergessen…

Und wenn ich dabei wäre, könnte ich mir endlich mal einen OpenWRT-Router hinstellen, davon träum ich schon seit bestimmt 10 Jahren (bisher gabs halt immer die Zwangsrouter…)
edit: Hm, da müsste ich dann aber erstmal klären, wie ich das mit dem FritzBox-VPN-Setup verbinde - ggf. gibts doch einfach noch ne Fritte…

Die Kosten wären dann mit USV, den beiden SSDs und dem Router bei irgendwas um 500 Öcken - die Hostingkosten bei all-inkl.com wären 10€/Monat, das ganze Setup hätte sich also nach gut zwei Jahr bereits amortisiert - mit Stromkosten vllt nach drei Jahren…


hmmmmmmm… Kommentare, Anregungen, Ideen, Tips?


Danke & VG
jugi

 

[Tommes]

Ok, da ich mich mit Mailservern noch nicht wirklich beschäftigt habe und auch sonst wohl eher wenig zu deinem "Brainstroming" beitragen kann, werde ich mich erstmal nur als stiller Leser dieses Threads hier einfinden. Nichts desto trotz find ich es irgendwie gut, das du jetzt doch was eigenes aufbauen möchtest... vielleicht ja sogar mit WordPress *lach*

Dann wünsche ich dir hier mal viele anregende Tipps...

Tommes

 

[heavy]

-Ich habe bei meinem Domainhoster einen MailRelay server mit im Paket über den dann alle meine Mails schlussendlich verschickt werden. Durch die neue GUI des DSM kann man den ja mitlerweile einfacher eintragen als früher per VI.

-Sollte meine DS mal nicht erreichbar sein springt ein Mailserver des Anbieters ein mit einer Gesamtkapazität von 5 MB (kann man gegen Gebühr natürlich aufstocken). Diese Mails werden solange gespeichert bis ein IP Update auf die DyndnsDomain statfindet oder der Mailserver sich als "alive" meldet. Größere Mails oder wenn durch viele kleine Mails der Speicher voll ist werden erstmal mit temporary abgelehnt. Also sollten sie vom sendenden Server nach einer gewissen Zeit erneut gesendet werden und erst dann komplett verworfen werden als unzustellbar. Das gebe ich zu klappt nicht immer kam beim Testen (vor 5 Jahren) auch mal vor dass eine 6 MB Mail sofort abgelehnt wurde.

-Rein als Mailserver sollte die 215J reichen. Html seiten sollten auch kein Problem sein, wie es mit CMS systemen aussieht weiß ich nicht, aber meine 213+ ist mit Joomla schon ganz schön beschäftigt.

- SSD keine Ahnung

- USV Meine USV sichert beide DSen, den Switch, den Router, den Drucker (weil er mit im Reagal steht), und das Telefon ab. Die DSL Leitung ist auch durch die USV geführt zwecks Überspannungsschutz (Ob der was taugt steht auf einem anderen Zettel.) Wegen den Verteilerkästen kommt es darauf an wie und an was du angeschlossen bist. Hast du Kabel - keine Ahnung, hast du VDSL/Glasfaser - kommt es darauf an wo der Stromausfall ist, denn oft sind die Verteiler an anderen Punkten angeschlossen als die Straße in der sie stehen. Hast du DSL (und der Verteieler auf der Straße noch kein Glasfaser) dann ist die Chance groß dass der Verteiler von der Telekom mit Strom versorgt wird, so wie früher ja auch die Analogen Telefone ohne Strom direkt an der Telefondose betrieben werden konnten. Aber ganz ehrlich wenn wirklich die Ganze Straße /Stadt ohne Strom ist, dann ist die Heizung wichtiger als der Internetanschluss. Und dann ist halt deine Seite für eine gewisse Zeit nicht erreichbar. Aber so einen komplett Ausfall hatte ich in 5 Jahren noch nicht. Auch hier wo ich jetzt wohne war das längste ein Ausfall von 5 Minuten (bis ich die Sicherung wieder reingemacht habe) vom Netz habe ich nur extreme Schwankungen die ab und zu meine USV dazu veranlassen einzuspringen.

- Fallstricke? Naja vielleicht der dass du den Gruppen "http" bei manchen Seiten explizit schreibrechte oder sogar adminrechte (bei der installation eines CMS auserhalb des Paketzentrums) einräumen musst. Auch sendmail klappt nicht so ohne weiteres mit dem internen Mailserver, da muss man dann erst noch eine bestimmte datei erstellen und dann per ssh auf die DS bringen.

- Wie meinst du das mit der Webseite trennen? Ich habe mehrere parallel laufen die alle über separate Domains erreichbar sind.

- Entweder du arbeitest mit Rechten (da kenn ich mich aber nicht aus, da ich die DS alleine administriere) oder du verwendest die Persönlichen Webseiten, wie man die dann Vhosts zuordnen kann weiß ich nicht, müsste ich mal rumspielen.

 

[jugi]

Gerade gefunden: https://www.ihesse.net/installation-eines-heimischen-mailservers-mit-zarafa-und-sonstigen-zugaben/

@heavy: die info mit dem backup-mx war gut, damit konnte ich noch bissl was im netz finden - bei welchem anbieter bist du?

 

[heavy]

ich bin bei selfhost (und da hätte ich auch einen Afi. Link.), da die damals die einzigen waren die mit dem Relayserver "geworben" haben. Und wenn ich jetzt sehe wie manche mit ihren Domains, Dyndns Adressen, Umleitungen und subdomains Ärger haben bereue ich es immer weniger dass ich eventuell etwas mehr bezahle. Denn ich brauche keinen Cname für meine Domain (vielleicht lösen sie es so intern in der Konfig läuft es völlig anders, da die Domain(s) vom dynAccount getrennt sind (ebenso die Umleitungen). Der Backup MX kam bis jetzt erst einmal zum tragen (während dem Umzug). Umleitungen funktionieren, für subdomains habe ich eine Wildcard und da die auf meine dyndns Adresse zeigt landet man mit jeder auf meiner DS und die entscheidet dann per Vhost bzw php srcipt was passieren soll.

Das mit den Zertifikaten in den Vhost ist auch noch so eine Sache der ich mich mal annehmen wollte, da ja aktuell nur meine Hauptseite ssl Geschützt ist da ich nur das kostenlose Zertifikat habe.

 

[jugi]

Neuer Plan: Die DS215j erstmal damit ausstatten: http://geizhals.de/1121842 und die beiden hdds der 215j an einen pi2 hängen (rsync).
Ich hab noch ne fritzbox 7390 aufgetan, das heißt ich könnte mit minimalem Kostenaufwand (~70€) ein spielsetup hochziehen - und wenns mit der ds so gar nicht klappt kann ichs direkt mit dem pi2 versuchen

Da weiß ich ja, was ich zu tun hab (Hab leider erst im März Zeit dafür)

 

[Tommes]

Sehe ich das richtig, das du mit den beiden Fritzboxen eine Routerkaskade aufbauen möchtest, so wie *hier* dargestellt?

Sowas wollte ich auch immer schon mal verwirklichen um meinen Pi in eine DMZ zu stellen und somit von meinen privaten LAN zu trennen. Jedoch lese ich in dem Zusammenhang auch immer, das openWRT-Router oder Routerboards wesentlich besser für sowas geeignet wären. Ich hab da leider keine Erfahrungswerte, wäre aber gespannt wie ein Flitzebogen wenn du über deine Erfahrungen berichten könntest, auch wenn es erst im März losgeht.

Tommes

 

[jugi]

Genau, ich würde mir eine DMZ bauen (Das was die Routerhersteller als solches bezeichnen ist - wie Heise es so schön formuliert - eine dreiste Lüge).
Aber wieso soll das mit Fritten nicht funktionieren? Bei der zweiten einfach das Modem deaktivieren und gut ist - oder nicht?

Leider kommt man beim recherchieren immer vom hundertste ins tausendste und von da wieder auf Null

Die neuen MailPlus Pakete sehen gar nicht so übel aus (Aber ob die auf einer 215j jemals unterstützt werden?).
Generell scheint es ja im Wiki (http://www.synology-wiki.de/index.php/Mailserver) massenhaft gute Infos zum Thema "Mail Station erweitern" zu geben… wobei da dann die Frage wäre, ob die Mail Station bei DSM6 (und 7) überhaupt noch gepflegt wird…
Generell ist da eh so viel dran zu machen, dass ich es eigentlich auch gleich "from scratch" aufm rPi2 machen kann - zumal der mehr Power hat, als ne 215j

Selbst RAID1 geht am rPi2 Leider anscheinend nicht bei der System-Partition, da die auf der SD sein muss und der hat halt auch nur usb2 :/
Alternativ könnte ich auch vom rPi2 aus einen Share der Heim-DS mounten, wobei ich damit mein DMZ-Setup ad absurdum führen würde -> also nein.
Oder n zweiten identisch konfigurierten rPi2 daneben stellen und in engen zyklen die daten rübersichern (die einrichtung dürfte allerdings ordentlich arbeit werden)

Also doch n "richtigen" PC hinstellen? Da komm ich nie im Leben mit dem Budget hin, ich muss das ja dann doch immer mit den ~10€/Monat von all-inkl.com vergleichen :/



edit: linkspeicher: https://www.debinux.de/2015/05/mailserver-from-scratch-debian-8/

 

[heavy]

Wegen den Fritten.
Angeblich sollen die Neuen Fritten keinen Internetanschluss an LAN 1 mehr unterstützen, somit könnte man keine Kasskade mehr machen. Du kannst ja berichten.

 

[jugi]

Hmmmmmm… irgendwie seh ich das ganze dann so langsam nicht mehr

Einfach 2 Fritten hintereinanderzuschalten und in die DMZ ne DS zu stellen hätte gut ins aktuelle Setup gepasst, aber das scheint wirklich nicht so ohne weiteres zu funktionieren und auch bei der DS müsste ich ne menge Hand anlegen (bzw dem rPi2) - Aber hier jetzt mit "echten" Netzwerkgeräten was aufzubauen wird mal definitiv zu teuer (da bräuchte ich zahlende Kunden ). Schade!

Dann wirds wohl doch all-inkl.com. Dabei wollte ich doch "einfach nur" 3 Standorte mit VPN verbinden (Kreis, nicht Stern) und in einer DMZ dann einen von außen erreichbaren Webserver hinstellen - und das natürlich mit den Provider-Fritten Das is doch nicht zu viel verlangt, oder?

 

[whitbread]

Wenn Du bereit bist, Dich ein wenig mit der Netzwerkkonfig zu beschäftigen bekommst bei Mikrotik für kleines Geld nen vollwertigen Router auf dem Du zudem noch Deine Firewall individuell konfigurieren kannst. Alternativ geht auch nen TP-Link Router und den auf OpenWRT flashen.

 

[jugi]

Ja, ich wühl mich da gerade durchs Netz… der TP-Link Archer scheint ganz brauchbar.

Mein Hauptproblem ist momentan aber sowieso eher das Setup aus 3 Standorten die alle untereinander (dezentral) miteinander kommunizieren können sollen (läuft momentan über LAN-LAN-VPN der fritten) und da jetzt ne dmz reinzufrickeln ohne alles neu zu machen…

Wobei ich ggf einen Standort eh rausschmeißen muss, da gibts vermutlich bald n neuen anschluss (https://de.wikipedia.org/wiki/KV-SafeNet - ganz großes Kino…) und was da dann noch geht steht eh in den Sternen, daher wäre natürlich eigentlich eine "interne" Lösung, die in den Routern nur Portfreigaben benötigt, sowieso besser..

Wäre jetzt also die Frage, ob ich mit drei OpenWRT-Routern hinter den Fritten so ein LAN-LAN-VPN-ähnliches Setup hinbekomme. Wobei dann alle "inneren" Netze auf die DMZ zugreifen können sollen (am besten mit funktionierendem internen dns).. Das ist dann n eher größeres Projekt denk ich

 

[whitbread]

Also ich bin über einen typischen Comsumer-Router (TP-Link) über pfsense zu Mikrotik gekommen. Die Fritten sind mir irgendwie suspekt - liegt wohl daran dass alle die haben. Bisserl so wie VW - viele schwärmen davon - für mich eher nogo.

Wenn Du die Fritten nicht unbedingt brauchst für Telefonie würde ich diese also 'rausschmeissen bzw. zum lokalen AP degradieren. Dann schnappst Du Dir 3 Mikrotik- Router; damit hast Du alle Möglichkeiten. Wenn ich Dein Setup richtig gelesen habe, müsstes Du mit einem der günstigsten Lite-Modelle hinkommen. OpenWRT ginge wohl auch; allerdings haben die keine Firewall integriert. Für die DMZ wäre das schon sinnig. Im einfachsten Fall ist eine DMZ ja nix anderes als ein eigenes internes Subnetz, welches aber keinen Zugriff auf das lokale LAN hat.

 

[jugi]

Ja, die Fritten sind halt auch immer n SPOF (da sie idR ja alles machen…). Ganz rauswerfen kann ich sie allerdings nicht (Telefonie)

Aber klar hat OpenWRT ne Firewall? https://wiki.openwrt.org/doc/uci/firewall
MikroTik sieht zwar ganz sympathisch aus, aber am Ende weiß man auch da wieder nicht genau, was die in ihrer Software haben (kein Open Source, wenn ich das richtig sehe?)

Wenn ich dich richtig verstehe willst du die DMZ mit einem Router und Softwareseitig lösen? Wäre zwar ne Möglichkeit, aber da ich die Fritten eh nicht rauswerfen kann…

 

[Tommes]

Ich funk mal grad dazwichen (sorry jugi)...

@whitbread
Meine FRITZ!Box 7490 hängt an einem IP-Anschluss der Telekom. Über die FRITZ!Box läuft also Internet, Telefonie, LAN, WLAN, VPN, DDNS... also alles, was wiederum bedeutet, das ich diese auch gerne behalten würde. Welchen Mikrotik-Router würdest du mir jetzt empfehlen, wenn ich meinen Pi und/oder eine DS in eine DMZ stellen möchte? Wäre da der MikroTik hAP (RB951Ui-2nD) das Richtige für mich? Hast du vielleicht ein oder zwei Links mit Beispielkonfigurationen... wie sowas bei mir aussehen könnte? Kann ich die Fritte auch weiterhin in ihrer Funktion so belassen oder ist der Aufwand dann doch viel größer?

Tommes

 

[jugi]

Alles gut ich war gestern bei dem hier gelandet, der kann auch ac (allerdings brauchts wohl extra antennen): http://www.mikrotik-shop.de/Komplet....html?XTCsid=613e4088bb8c3768ab422a0c043c02ae

Edit: wobei du - je nach setup - das vpn dsnn mit dem mikrotik machen müsstest - sonst hast du n tunnel in die dmz, was eher sinnfrei ist

 

[tschortsch]

Kurze Anmerkung.
Wenn eine neuer Router dann zumindest mit Gbit Lan Anschlüße.

10/100 Mbit gehört ins letzte Jahrtausend, ist aber leider bei den Billiggeräte noch immer Standart.
Ich ärgere mich noch immer das mein Alix-Board nur 100Mbit.

 

[jugi]

So, ich werde das Thema jetzt erstmal bis Ende Februar/März ruhen lassen (müssen), auf jeden Falls hab ich jetzt ein grobes Konzept im Kopf, wie das ganze realisiert werden kann.

Die VPN-Ring-Geschichte werde ich dabei zwar vermutlich nicht weiter so betreiben können, aber das ist auch okay - die Anschlüsse sind sowieso so, dass der Server gar nicht so arg überlastet werden kann. (100/30, 50/10 und 6/1 )
Es wird am Ende also auf ein relativ "normales" OpenVPN Setup der drei Netze hinauslaufen. Dazu gibts zum Glück ne Menge Infos hier und im Netz, mit OpenVPN hab ich nämlich bisher nicht viel gemacht.

Das DMZ-Thema werde ich dann (vermutlich) über OpenWRT auf einem TP-Link Archer C7 V2 realisieren. Da würde es vermutlich auch jeder billige Router tun, aber das war der günstigste mit ac-WLAN
@Tommes: das wäre jetzt auch meine Empfehlung für dich, OpenWRT ist jetzt nich sooo schwer und es ist (soweit ich das bis jetzt Überblicken kann) sehr gut Dokumentert (das Wiki ist monströs…)

Was ich dann am Ende als Webserver nutze muss ich mir noch überlegen, das hängt dann auch von den Fähigkeiten von DSM 6 ab. Wenn das versionierte Backup auf USB-Platten gut funktioniert kann ich ggf. meine DS115 nehmen, evtl. verlagere ich aber auch das 3. Backup auf einen rPi2 - oder ich schmeiß den dritten Standort direkt raus - und nehme die 215j (weil wegen RAID1) - oder ich machs gleich mitm rPi2

Der Vorteil der ganzen Schose ist, dass die einzelnen Themen (DMZ, VPN, Webserver) über komplett unterschiedliche Geräte laufen und ich daher keinen SPOF produziere.

also schonmal danke bis hier hin!


to be continued…

 

[whitbread]

Sry mein letzter Kontakt mit openwrt ist schon was her. Wenn die jetzt auch Firewalling beherrschen gibt nur mehr wenige Gründe, Dein Vorhaben nicht mit openwrt zu lösen.

Zum Thema Hardware muss ich sagen, dass ich da mancherlei Hype nicht ganz nachvollziehen: Ein Router mit Gigabit-Ethernet ist ebenso sinnfrei wie WLAN bei einem Router. Was ich damit sagen will ist, dass man sich doch sehr genau überlegen soll, welche HW wo benötigt wird. Der Hype um WLAN ac ist ebenso unnötig, es sei denn man braucht eine hochperformante Wireless Bridge, oder man hat wirklich 'nen Internetanschluss der schneller als WLAN n wäre. Und Gigabit-Anschlüsse braucht es nur fürs Switching (Bridging). Schon klar, dass man ein möglichst vielseitig einsetzbares Gerät haben möchte, aber ich rate eher dazu mal mit 'nem gebrauchten kostengünstigen Gerät zu starten. Ansonsten spricht natürlich nix gegen ein aktuelles hochwertiges Modell; den Hersteller wirds freuen.

Um nochmal auf die Produktpalette von Mikrotik zurückzukommen: Ich habe inzwischen 6 Geräte im Einsatz; selbst der kleine hap lite für schnuckelige 25€ verrichtet als PPPoE-Router incl. VPN problemlos seine Dienste. Wer nur einen Router braucht nimmt ansonsten eines der hex Modelle. Für WLAN würde ich dann auf eines der Modelle mit 2HnD achten, da die doch gehörig mehr Leistung (wireless) bieten. Auch bei Mikrotik gibt es dann die eierlegende Wollmichsau aus Gigabit-Switch, Router und AP. Tatsächlich plane ich bspw. meinen managed Switch auch perspektivisch durch einen von Mikrotik zu ersetzen.
Kleiner Nachtrag: Wer Wireless ac bei MTik möchte kann den aktuell veröffentlichten hap ac lite nehmen; in Kürze kommt aber auch der hap ac, der u.a. mehr chains und Gbit bietet.

 

[whitbread]

Zum Setup nur so viel: Wenn ich wie Tommes eh' bei der Telekom bin, wo es ja keinen Routerzwang gibt oder dann bald auch bei den anderen Anbietern befreit werde (wann greift das Gesetz denn endlich), würde ich den Mikrotik-Router immer nach vorne stellen, also zwischen Modem und internen Netzen. Wenn die mitgelieferte Fritte auch gleichzeitig das Modem war, brauche ich halt 'nen zusätzlichen AP oder ein dediziertes Modem zusätzlich. Dann ist Port 1 Uplink, Port 2 meine DMZ und Port 3 bspw. mein LAN. Dort kann ich dann auch meinen AP (Fritte incl. VoIP) plazieren. Wenn jetzt der Mikrotik-Router bereits ein Wireless-Modell ist könnte das Ganze aber auch mit einem einzigen Gerät ... - ach ne das wollten wir ja nicht ;-)

Um erstmal warm zu werden mit dem Thema kann ich 'nen Mikrotik Router auch hinter einen bestehenden DSL-Router stellen. Dann ist aber das Netz dieses Routers quasi meine DMZ und ich sichere dahinter mein (W)LAN ab. Dazu kann ich bspw. die default-Konfig des Mikrotik-Routers verwenden; dieser holt sich auf Port 1 per DHCP eine IP vom bestehenden Router und spannt auf den anderen Ports ein 192.168.88.0/24 Netz auf. Die Firewall lässt Traffic von 2-5 nach 1 zu, aber keinen von 1 nach 2-5; einzig das masquerading auf Port 1 würde ich deaktivieren. Jetzt müsstest Du der Fritte nur noch eine statische Route zum 88.0/24 Netz beibringen und es kann erstmal losgehen...

Achja - als erste Anlaufadresse bieten sich sonst die Artikel zur DMZ bzw. Routerkaskadierung bei administrator.de an und für Mikrotik gibt es vom Hersteller ein gutes Manual / Wiki und Forum.